係統日誌分析軟件fail2ban 0.10最新版

fail2ban是一款強大的主動防禦軟件，,可以監控大多數常用服務器軟件，可以監視你的係統日誌，然後匹配日誌的錯誤信息（正則式匹配）執行相應的屏蔽動作，有需要的趕快下載吧！

功能介紹

1、支持大量服務。如sshd,apache,qmail,proftpd,sasl等等
    2、支持多種動作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(郵件通知)等等。
    3、在logpath選項中支持通配符
    4、需要Gamin支持(注：Gamin是用於監視文件和目錄是否更改的服務工具)
    5、需要安裝python,iptables,tcp-wrapper,shorewall,Gamin。如果想要發郵件，那必需安裝postfix/sendmail

使用方法

//下載rpmforge (裏麵有大量最新的rpm包)
    # wget URL< 此URL請用擴展閱讀中的地址替換>
    //安裝rpmforge
    # rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm
    //用yum安裝fail2ban
    # yum install fail2ban
    安裝完成後，fail2ban 的設定檔在這裏
    # /etc/fail2ban
    fail2ban.conf 日誌設定文檔
    jail.conf 阻擋設定文檔
    /etc/fail2ban/filter.d 具體阻擋內容設定目錄
    默認fail2ban.conf裏麵就三個參數，而且都有注釋。
    -------------------------------
    #默認日誌的級別
    loglevel = 3
    #日誌的目的
    logt*arget = /var/log/fail2ban.log
    #socket的位置
    socket = /tmp/fail2ban.sock
    -------------------------------
    jail.conf配置裏是fail2ban所保護的具體服務的配置，這裏以SSH來講。
    在jail.conf裏有一個[DEFAULT]段，在這個段下的參數是全局參數，可以被其它段所覆蓋。
    -------------------------------
    #忽略IP,在這個清單裏的IP不會被屏蔽
    ignoreip = 127.0.0.1 172.13.14.15
    #屏蔽時間
    bantime = 600
    #發現時間，在此期間內重試超過規定次數，會激活fail2ban
    findtime = 600
    #嚐試次數
    maxretry = 3
    #日誌修改檢測機製
    backend = auto
    [ssh-iptables]
    #激活
    enabled = true
    #filter的名字，在filter.d目錄下
    filter = sshd
    #所采用的工作，按照名字可在action.d目錄下找到
    action = iptables[name=SSH, port=ssh, protocol=tcp]
    mail-whois[name=SSH, dest=root]
    #目的分析日誌
    logpath = /var/log/secure
    #覆蓋全局重試次數
    maxretry = 5
    #覆蓋全局屏蔽時間
    bantime = 3600
    -------------------------------
    對jail.conf進行一定的設置後，就可以使用fail2ban了。
    //啟動fail2ban
    # service fail2ban start
    啟動之後，隻要符合filter所定義的正則式規則的日誌項出現，就會執行相應的action。